Verschlüsselung
- Daniela Zimmermann
- Dinah Bolli
- Robert Mühsig
primedocs kann sowohl einzelne Einträge wie Passwörter oder ConnectionStrings in Konfigurationen als auch den gesamten Offline-Cache von Windows-Clients verschlüsseln.
Konfiguration
ACHTUNG
Einmal verschlüsselte Elemente sind ohne den entsprechenden Sicherheitsschlüssel nicht mehr verwendbar. Der Schlüssel ist in der Datenbank abgelegt.
In primedocs-Konfigurationen können schützenswerte Daten verschlüsselt werden. So kann der Vorlagenadministrator die restliche Konfiguration bearbeiten, ohne dass er diese Daten sieht.
Beim Konfigurieren müssen Sie darauf achten, dass der entsprechende Wert verschlüsselbar ist wie z. B. der ConnectionString beim SQL Address Provider. In der globalen Konfiguration funktioniert das mittels Klick auf den Verschlüsselungs-Button:
Ist die Konfiguration lokal an einer Vorlage, muss der entsprechende Text in die Globalen Konfigurationen ausgelagert werden. Dabei kann der Text direkt verschlüsselt werden:
TIPP
Der Schlüssel kann im Admin-Dashboard unter Settings → General Settings → SymmetricEncryptionKey verwaltet werden. Achten Sie darauf, dass Sie nach dem Import von Daten zwischen verschieden Datenbanken die Daten neu verschlüsseln oder stellen Sie sicher, dass beide Datenbanken mit dem gleichen Schlüssel konfiguriert sind.
Technische Details
Bei der Verschlüsselung handelt es sich um eine symmetrische Verschlüsselung (AES mit 256-bit Schlüssellänge und jeweils 128-bit Salt). Der Schlüssel ist in der Datenbank hinterlegt. Die Windows-Clients kennen für den Offline-Betrieb den symmetrischen Schlüssel ebenfalls. Dieser wird jeweils mittels der Windows Data Protection API (DPAPI) geschützt (mit 256-bit NONCE als zusätzliche Entropie). Die Sicherheit während des Transits wird durch HTTPS gewährleistet.
Der WebClient, das Office-AddIn und die COM-AddIns erhalten den Schlüssel zu keinem Zeitpunkt.
Windows Clients – Offline-Cache
Der Offline-Cache der Windows Clients kann verschlüsselt abgelegt werden. Das ist empfehlenswert, wenn die Daten nicht anderweitig (z. B. durch BitLocker) geschützt werden. Dazu muss (z. B. via Group Policy) einer der folgenden Registry Keys angelegt werden – wobei der erste Key der Entscheidene ist, falls beide gesetzt sind:
[HKEY_CURRENT_USER\Software\Policies\PrimeSoft AG\PrimeDocs]
EncryptCache="true"oder
[HKEY_CURRENT_USER\Software\PrimeSoft AG\PrimeDocs]
EncryptCache="true"Ist der Key nicht gesetzt, wird der Cache nicht verschlüsselt.
HINWEIS
Wird die Veschlüsselung deaktiviert oder aktiviert, bedeutet das, dass alle betroffenen Windows Clients ihren Offline-Cache neu aufbauen. Daher ist es empfehlenswert, den Key vor der Installation der primedocs-Clients zu setzen, um unnötigen Synchronisationsaufwand zu vermeiden.
Technische Details
Bei der Verschlüsselung handelt es sich um eine symmetrische Verschlüsselung (AES mit 256-bit Schlüssellänge und jeweils 128-bit Salt). Der Schlüssel wird von jedem Client beim Erstellen des Cache generiert und mittels der Windows Data Protection API (DPAPI) geschützt (mit 256-bit NONCE als zusätzliche Entropie). Das heisst, dass nur der aktuelle Windows User auf demselben Computer den Schlüssel und damit die Daten entschlüsseln kann.
PrimeSoft AG, Bahnhofstrasse 4, 8360 Eschlikon, Switzerland